10 minute read
CONTENIDO DEL LEGAJO DE PAPELES DE TRABAJOCOMPUTACIONALES..4
CONTENIDO DEL LEGAJO DE PAPELES DE TRABAJO
Los aspectos que analizaremos a continuación son de carácter general; asimismo, al presentarlos pretendemos dar una idea precisa de la cantidad mínima de documentos con la que se podrán integrar los papeles de trabajo del auditor de sistemas; también proyectamos señalar un criterio de orden y conservación para el llamado legajo de papeles de trabajo de la auditoría de sistemas.
Advertisement
El legajo de papeles de trabajo, por su naturaleza y contenido, es el aspecto fundamental para elaborar el dictamen de la auditoría, y su uso es confidencial y exclusivo del auditor de sistemas, debido a que éste va integrando en estos papeles de trabajo los documentos reservados y de uso exclusivo de la empresa, mismos que recopila durante su revisión y los complementa con los registros, en papel o en medios electromagnéticos, que obtiene como evidencias formales de alguna desviación en el área de sistemas auditada.
Se debe señalar que el contenido de los papeles de trabajo puede variar de un auditor a otro y de un tipo de auditoría a otra, ya que en cada trabajo existen procedimientos, técnicas y métodos de evaluación especiales que forzosamente harán diferente la recolección de los documentos. Lo mismo ocurre con la forma de obtener evidencias e incluso con la forma de concentrar los papeles de trabajo.
A continuación, presentaremos una propuesta para integrar estos papeles:
• Hoja de identificación • Índice de contenido de los papeles de trabajo • Dictamen preliminar (borrador) • Resumen de desviaciones detectadas (las más importantes) • Situaciones encontradas (situaciones, causas y soluciones) • Programa de trabajo de auditoría • Guía de auditoría • Inventario de software • Inventario de hardware • Inventario de consumibles • Manual de organización • Descripción de puestos • Reportes de pruebas y resultados • Respaldos (backups)de datos, disquetes y programas de aplicación de auditoría • Respaldos (backups) de las bases de datos y de los sistemas • Guías de claves para el señalamiento de los papeles de trabajo • Cuadros y estadísticas concentradores de información • Anexos de recopilación de información • Diagramas de flujo, de programación y de desarrollo de sistemas • Testimoniales, actas y documentos legales de comprobación y confirmación • Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema • Otros documentos de apoyo para el auditor
Hoja de identificación Ésta es la parte frontal del legajo de papeles de trabajo de la auditoría de sistemas computacionales, y es el primer documento formal que se identifica en dicho legajo; en esta hoja, que puede ser una carátula formal rigurosamente empastada o una simple portada de cartón o de papel común y corriente, se anotan los datos elementales que sirven para identificar la documentación contenida en el legajo.
Nombre de la empresa responsable de llevar a cabo la auditoría de sistemas En esta parte se anotan el logotipo y nombre de la institución, cuando es una empresa de auditoría externa la responsable de realizar la auditoría de sistemas, o el nombre de la empresa y la designación del área de auditoría interna, cuando es el área de auditoría interna la responsable de llevarla a cabo. Es indispensable anotar los datos de una sola empresa (externa o interna); no es válido anotar los de ambas.
Identificación del legajo de papeles de trabajo Aquí va el nombre genérico que se le da al documento y sirve para identificar que se trata de la concentración de los documentos que avalan la realización de la auditoría de sistemas. En algunos casos puede admitirse con otros nombres, según la preferencia del auditor o empresa. Lo importante es que esta parte sirve para identificar, claramente, el contenido de los documentos relacionados con la auditoría de sistemas.
Nombre de la empresa o área de sistemas auditada En este lugar se anota el nombre completo de la empresa a la cual se practica la auditoría de sistemas, junto con el nombre del área de sistemas en donde ésta se lleva a cabo. En caso de tratarse de una auditoría interna, entonces se anota el nombre del área de sistemas auditada. Lo esencial es que se puedan identificar, lo más claramente posible, los nombres completos de la empresa y del área de sistemas donde se realiza la auditoría.
Periodo en que se realizó la auditoría En este lugar se anota la fecha de inicio de la auditoría (desde que empezó la revisión) y su terminación (hasta el último día de revisión); de preferencia se debe anotar con el formato Día (con números) Mes (con letras) Año (con cuatro dígitos), o con el formato que el auditor prefiera.
Puesto y cargo del responsable de realizar la auditoría Aquí se anota el nombre completo del responsable de llevar a cabo la auditoría; en caso de ser un grupo, se anota el nombre del responsable de la conducción de la auditoría. Se puede anotar a todos los participantes si así se desea, pero siempre se debe destacar al responsable de la auditoría.
Fecha de emisión del dictamen final Es la fecha en la que se presenta por escrito el dictamen final de auditoría; es propiamente la fecha en la que se entrega el resultado de la auditoría del área de sistemas, y éste es aceptado por la dirección superior del área. Lo fundamental es presentar con toda oportunidad dicho informe. Índice del contenido de los papeles de trabajo En esta parte se hace la descripción detallada y se pagina el contenido total de los papeles de trabajo, con el propósito de identificar rápidamente la página en donde se encuentra cada una de las partes que integran este legajo de papeles.
Resumen de desviaciones detectadas (las más importantes) Otro de los documentos importantes que debe conservar el auditor en el legajo de papeles de trabajo es la copia de los documentos originales, y en algunos casos el borrador manuscrito, de las desviaciones que considera como las más importantes encontradas durante la revisión, así como sus causas y posibles soluciones, que presenta en el formato de desviaciones encontradas.
Programa de trabajo de auditoría Es el documento formal (por escrito) de los planes, programas y presupuestos hechos para el control y desarrollo de la auditoría; este documento se elabora en un formato especial o en una gráfica en la cual se anotan las etapas y actividades para la evaluación, así como los tiempos
para llevarla a cabo; también se anotan los recursos disponibles para realizar todas esas actividades.
Metodología para realizar auditorías de sistemas computacionales, analizamos detalladamente el plan o programa de trabajo; por esta razón, únicamente señalaremos los principales conceptos que el auditor debe contemplar como parte del programa de trabajo:
1ª etapa: Planeación de la auditoría de sistemas computacionales P.1 Identificar el origen de la auditoría P.2 Realizar una visita preliminar al área que será evaluada P.3 Establecer los objetivos de la auditoría P.4 Determinar los puntos que serán evaluados en la auditoría P.5 Elaborar planes, programas y presupuestos para realizar la auditoría P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría P.7 Asignar los recursos y sistemas computacionales para la auditoría
2ª etapa: Ejecución de la auditoría de sistemas computacionales E.1 Realizar las acciones programadas para la auditoría E.2 Aplicar los instrumentos y herramientas para la auditoría E.3 Identificar y elaborar los documentos de desviaciones encontradas E.4 Elaborar el dictamen preliminar y presentarlo a discusión E.5 Integrar el legajo de papeles de trabajo de la auditoría
3ª etapa: Dictamen de la auditoría de sistemas computacionales D.1 Analizar la información y elaborar un informe de situaciones detectadas D.2 Elaborar el dictamen final D.3 Presentar el informe de auditoría
Guía de auditoría Este documento, llamado guía de auditoría, es fundamental para el buen desarrollo de una auditoría, ya que es una herramienta auxiliar para el trabajo del auditor; por esta razón, debe tener una descripción detallada de todos y cada uno de los puntos importantes que se deben auditar, según las necesidades de evaluación y características específicas del área de sistemas de la empresa.
Inventarios Una de las principales herramientas que utiliza el auditor de sistemas son los inventarios, los cuales le sirven para contar los elementos que existen en el área que va a evaluar, según los equipos, artículos o partes del sistema que se traten; además, con la información que obtiene puede comparar lo que debería existir y lo que realmente existe de los elementos que se están inventariando; con ello puede comprobar que la guarda y custodia de los bienes de la empresa sean adecuadas.
Por esta razón, a continuación, presentaremos los principales inventarios para el área de sistemas: Inventario de software Inventario de hardware Inventario de bases de datos e información de la empresa Inventario de proyectos y desarrollos computacionales Inventario de puestos de trabajo en el área de sistemas Inventario de reportes de pruebas y resultados Inventario de mobiliario y equipos Inventario de instalaciones de voz, datos y energía
Inventario de instalaciones de redes Inventario de manuales e instructivos Inventario de respaldos, disquetes, cintas y sistemas de resguardo de información Inventario de consumibles Inventario de software Uno de los documentos fundamentales que el auditor debe integrar en el legajo de papeles de trabajo, es el inventario de los programas, lenguajes, paqueterías, sistemas operativos y cualquier otro software que se utilice en la institución para el procesamiento de la información y la operación de los sistemas.
Respaldo de datos (BACKUPS)información y programas de aplicación de auditoría Los sistemas computacionales tienen características específicas en cuanto a la forma de captura, almacenamiento y emisión de información; por esta razón, encontramos que el respaldo de documentos es muy importante en una auditoría de sistemas computacionales. Estos documentos de trabajo, que contienen información importante, se pueden archivar en disquetes, cintas, CD-ROMs, DVDs o en algún otro medio electrónico de captura y lectura de datos.
Respaldos de bases de datos e información de la empresa Es el respaldo periódico de información que se hace a través de disquetes (o cualquier otro medio), en los cuales se almacenan los datos de algún ejercicio, operación, o cualquier otra serie de datos que es importante conservar. El auditor de sistemas debe decidir cómo conservar esta información como parte de su evaluación.
En la práctica de la auditoría de sistemas, el auditor debe evaluar los respaldos, la periodicidad con la que se llevan a cabo, el período de duración o actualización de la información respaldada, la confiabilidad del respaldo, la manera de evitar fugas de información, entre muchos otros aspectos.
Respaldos de programas (copias de respaldo de programación) En este caso, el auditor debe verificar que existan respaldos (periódicos o únicos) de los sistemas operativos, programas, paqueterías o sistemas realizados en la empresa, con el objeto de evaluar que dichos respaldos sean los adecuados en caso de ocurrir problemas en el sistema. Además, debe verificar que los respaldos estén perfectamente custodiados, y que no existan más copias de las permitidas, para evitar la llamada piratería de programas o la fuga de información de la empresa.
Otros documentos que debe contener el legajo de papeles de trabajo de la auditoría Debemos señalar que el responsable de la auditoría de sistemas es quien debe definir el contenido y la forma de guardar los papeles de trabajo, y debe hacerlo de acuerdo con las necesidades específicas de evaluación, siguiendo, de preferencia, la forma acostumbrada de captura y almacenamiento de la información recabada en la empresa o área auditada. Asimismo, es quien debe determinar las secciones, partes y documentos que se deben guardar en el legajo de papeles de trabajo. Por esta razón, a continuación, presentamos algunos otros documentos que debe contener el citado legajo.
Estadísticas y cuadros concentradores de información Este punto se refiere a todo lo relacionado con los cuadros estadísticos que utiliza el auditor para recabar y evaluar la información obtenida en la evaluación; en estos cuadros se incluyen las gráficas, datos, censos, muestras, formulas estadísticas, etc. Es de suma importancia para el auditor archivar estos cuadros en el legajo de papeles de trabajo, ya que le pueden servir para
